以下結(jié)果以O(shè)racle 11g為例，通過(guò)PL/SQL進(jìn)行管理，未進(jìn)行任何配置、按照等保2.0標(biāo)準(zhǔn)，2021報(bào)告模板，三級(jí)系統(tǒng)要求進(jìn)行測(cè)評(píng)。

一、身份鑒別

a) 應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

sysdba是Oracle數(shù)據(jù)庫(kù)的最高權(quán)限管理員。通常使用sqlplus或PL/SQL 管理軟件進(jìn)行管理，PL/SQL 為第三方管理軟件，但SQL查詢語(yǔ)句一樣。

注：sysdba如果是本地管理，亂輸密碼也能登錄成功，需要改sqlnet.ora文件。

1. 管理員登錄數(shù)據(jù)庫(kù)時(shí)是是否需要輸入用戶名/口令，不存在空口令；

2. 使用 Select username，account_status from dba_users; 顯示所有能登錄數(shù)據(jù)庫(kù)的用戶信息:(),那些是open那些是locked,UID是否唯一

3. 通過(guò)命令 **select * from dba_profiles where resource_type=‘password’;或SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘PASSWORD_VERIFY_FUNCTION’;**如果為NULL則為未設(shè)置密碼復(fù)雜度要求。

為了感謝廣大讀者伙伴的支持，準(zhǔn)備了以下福利給到大家：

1、200多本網(wǎng)絡(luò)安全系列電子書(shū)（該有的都有了）

2、全套工具包（最全中文版，想用哪個(gè)用哪個(gè)）

3、100份src源碼技術(shù)文檔（項(xiàng)目學(xué)習(xí)不停，實(shí)踐得真知）

4、網(wǎng)絡(luò)安全基礎(chǔ)入門(mén)、Linux、web安全、攻防方面的視頻（2021最新版）

6、 網(wǎng)絡(luò)安全學(xué)習(xí)路線（告別不入流的學(xué)習(xí)）

7、ctf奪旗賽解析（題目解析實(shí)戰(zhàn)操作）

若有設(shè)置應(yīng)為

（1）PASSWORD_LOGIN_ATTEMPTS = 登錄嘗試次數(shù)； （2）PASSWORD_LIFE_TIME = unlimited 未設(shè)置口令有效期； （3）PASSWORD_ROUSE_MAX = unlimited 未設(shè)置重新啟用一個(gè)先前用過(guò)的口令前必須對(duì)該口令進(jìn)行重新設(shè)置的次數(shù)（重復(fù)用的次數(shù)）; （4）PASSWORD_VERIFY_FUNCITON = NULL,未設(shè)置口令復(fù)雜度校驗(yàn)函數(shù)； （5）PASSWORD_GRACE_TIME=，口令修改的寬限期天數(shù)：7；

b) 應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；

1. 通過(guò)輸入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘FAILED_LOGIN_ATTEMOTS’;， 查詢結(jié)果若為’UNLIMITED’則無(wú)登錄重試次數(shù)限制，超過(guò)此值用戶被鎖定。可以通過(guò)ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 10（重試次數(shù)10次）

2. 通過(guò)輸入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘PASSWORD_LOCK_TIME’;， 查詢結(jié)果若為’unlimited’則無(wú)登錄失敗次數(shù)鎖定限制?？梢酝ㄟ^(guò)ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 1/24（重試失敗后鎖定一天）

3. 通過(guò)輸入 SELECT LIMIT FROM DBA_PROFILES WHERE PROFILE=‘DEFAULT’ AND RESOURCE_NAME=‘IDLE_TIME’;, 查詢結(jié)果若為’UNLIMITED’則無(wú)登錄超時(shí)限制。

c) 當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；

采用sqlplus或PL/SQL連接數(shù)據(jù)庫(kù)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理，客戶端與服務(wù)器端之間通信是加密的，故Oracle該項(xiàng)默認(rèn)符合。

d) 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

經(jīng)訪談管理員，是否采用雙因子身份鑒別技術(shù)，鑒別技術(shù)是什么 。默認(rèn)都不符合。

二、訪問(wèn)控制

a) 應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限；

通過(guò)輸入**Select username，account_status from dba_users；**語(yǔ)句，主要查看數(shù)據(jù)庫(kù)存在那些可用用戶，至少得有兩個(gè)，該測(cè)評(píng)項(xiàng)就需要Oracle中存在至少兩個(gè)賬戶，且這兩個(gè)賬戶的權(quán)限不一樣。

1.為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況，主要看可用賬戶（例如采用“用戶權(quán)限列表”）； 2.是否已禁用或限制匿名、默認(rèn)賬戶的訪問(wèn)權(quán)限。如只有MGMT_UIEW,SYSTEM,SYS,DBSNMP為啟用狀態(tài)，其他均為啟用狀態(tài)，則為符合。

b) 應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令

在Oracle中默認(rèn)用戶最常用的就是SYS和SYSTEM這兩個(gè)賬戶。 1.是否已經(jīng)重命名SYS、SYSTEM、DBSNMP等默認(rèn)帳戶名或已修改默認(rèn)口令，sys默認(rèn)口令為CHANGE_ON_INSTALL；SYSTEM：MANAGER；DBSNMP的默認(rèn)口令為：DBSNMP?？梢缘卿洔y(cè)試。

c) 應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在

訪談管理員是否存在多余或過(guò)期賬戶，管理員用戶與賬戶之間是否一一對(duì)應(yīng)通過(guò)輸入**Select username，account_status from dba_users；**查看是否存在默認(rèn)帳戶SCOTT/OUTLN/ORDSY等用戶，不存在acount_status為expired的賬戶。訪談管理員是否存在共享賬戶等。示例不符合。

d) 應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離··

1. 通過(guò)輸入**Select username，account_status from dba_users;**查看狀態(tài)為open的用戶的用途。是否進(jìn)行角色劃分,是否有多個(gè)用戶進(jìn)行管理數(shù)據(jù)庫(kù)； 2. 通過(guò)輸入 **select * from dba_tab_privs where grantee=‘SYS’ ORDER BY GRANTEE；**查看SYS最高權(quán)限授予給那些用戶，得知管理用戶的權(quán)限是否已進(jìn)行分離；

3. 通過(guò)訪談管理員、管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限，是否存在相應(yīng)的用戶權(quán)限表。 4. 通過(guò)輸入select granted_role from dba_role_privs where grantee=‘PUBLIC’; 返回值( ) 得知public是否被授權(quán)給用戶，有就不符合 ; 5. 通過(guò)在命令窗口輸入Show parameter O7_DICTIONARY_ACCESSIBILITY；返回值(是否為false);（該參數(shù)設(shè)置為false為符合，如果用戶具有了any table權(quán)限，則可以訪問(wèn)除sys用戶之外的其他用戶的對(duì)象，也就無(wú)權(quán)訪問(wèn)數(shù)據(jù)字典基表。）

TIPS: sql語(yǔ)句在 PL/sql的文件–》sql窗口執(zhí)行，show等命令語(yǔ)句在命令窗口執(zhí)行。sqlplus則不區(qū)分。

綜上判斷符合程度。

e) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則

通過(guò)訪談管理員，是否由特定賬戶為登錄用戶分配角色和權(quán)限。是否存在具體的訪問(wèn)規(guī)則。

f) 訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)

1.通過(guò)訪談數(shù)據(jù)庫(kù)管理員，是否制定數(shù)據(jù)庫(kù)訪問(wèn)控制策略，訪問(wèn)控制的粒度為數(shù)據(jù)庫(kù)表級(jí)。此項(xiàng)默認(rèn)符合。

g)應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)

通過(guò)訪談數(shù)據(jù)庫(kù)管理員: 是否對(duì)重要主體和客體設(shè)置安全標(biāo)記。 oracle自身應(yīng)該不具備這個(gè)功能，可能要依靠操作系統(tǒng)或者第三方的什么軟件如Oracle_Label_Security來(lái)實(shí)現(xiàn)了。該項(xiàng)一般默認(rèn)都不符合。

三、安全審計(jì)

a) 應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用 戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)

Oracle自帶有審計(jì)功能，可以通過(guò)audit_trail參數(shù)來(lái)開(kāi)啟使用。 1. 通過(guò)輸入 show parameter audit_trail；返回值默認(rèn)為DB，即為普通用戶開(kāi)啟審計(jì)功能，若為none則為未開(kāi)啟狀態(tài)；

2. 通過(guò)輸入 **select * from dba_stmt_audit_opts;和select * from dba_priv_audit_opts;**返回結(jié)果如User_Name為空值，對(duì)這些重要事件開(kāi)啟審計(jì)，并且這個(gè)審計(jì)是針對(duì)所有用戶的，符合要求。

3. 通過(guò)輸入 **show parameter audit_sys_operations;**返回結(jié)果 audit_sys_operations boolean FALSE 則未對(duì)SYSDBA或SYSOPER特權(quán)連接時(shí)直接發(fā)出的SQL語(yǔ)句進(jìn)行審計(jì)，需要開(kāi)啟，默認(rèn)為false。

綜上分析判斷符合程度。

b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息

通過(guò)輸入 **select * from aud$; **查看審計(jì)日志的格式，默認(rèn)符合。（輸入show parameter dump_dest 得出backgroup_dump_dest的值為日志文件的位置。）。下圖沒(méi)有顯示完全。

c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等

1. 通過(guò)訪談管理員， 是否采取技術(shù)措施對(duì)審計(jì)記錄進(jìn)行定期備份，采用的技術(shù)措施及備份策略是怎么樣的？如通過(guò)syslog端口導(dǎo)入到日志服務(wù)器。 2. 是否只有特定的管理員擁有對(duì)審計(jì)記錄的操作權(quán)限，普通用戶無(wú)法訪問(wèn)審計(jì)記錄。

d) 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷

Oracle默認(rèn)符合此項(xiàng)。 1. 通過(guò)查看sysdba、sysoper權(quán)限被授予給了誰(shuí)，非管理員賬戶是否可以中斷審計(jì)進(jìn)程，審計(jì)進(jìn)程是否進(jìn)行了保護(hù)。 2. 通過(guò)輸入**alter system set audit_trail=none; **得出無(wú)法成功即符合。示例為sysdba最高權(quán)限管理員登錄，能夠進(jìn)行操作。需要通過(guò)一個(gè)普通用戶登錄，查看此條命令是否能夠執(zhí)行，若能此項(xiàng)就不符合。

四、入侵防范

a) 應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序

通過(guò)輸入**select * from v$option;**得知安裝的組件是否多余。value為true為安裝了。[圖片上傳失敗…(image-c9a1b2-1634546762405)]

b) 應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口

此項(xiàng)不適用，數(shù)據(jù)庫(kù)不涉及此項(xiàng)。

c) 應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制

通過(guò)查看oracle的安裝路徑中的sqlnet.ora文件查看tcp.validnode_checking/tcp/invited_nodes的配置是否為： tcp.validnode_checking=yes tcp,invited_nodes=() 得知是否設(shè)置了遠(yuǎn)程連接IP。

大部分未設(shè)置，基本都是通過(guò)遠(yuǎn)程管理操作系統(tǒng)間接遠(yuǎn)程數(shù)據(jù)庫(kù)。

d) 應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求8

此項(xiàng)不適用，數(shù)據(jù)庫(kù)不涉及此項(xiàng)。

e) 應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞

1、 訪談管理員是否定期或不定期進(jìn)行漏洞掃描或滲透測(cè)試，周期為 ( ); 2、通過(guò)本次漏洞掃描是否發(fā)現(xiàn)與數(shù)據(jù)庫(kù)相關(guān)的高危漏洞，若存在，是否及時(shí)進(jìn)行漏洞修補(bǔ)。

f) 應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警

此項(xiàng)不適用，數(shù)據(jù)庫(kù)不涉及此項(xiàng)。

五、惡意代碼防范

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷

此項(xiàng)不適用，數(shù)據(jù)庫(kù)不涉及此項(xiàng)。

六、可信驗(yàn)證

可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、 系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心

通過(guò)訪談管理員，是否采取了可信技術(shù)，一般都是未采取?？尚偶夹g(shù)主要是基于可信芯片、可信根，硬件層面較多。但是現(xiàn)在市面上的產(chǎn)品尚未大量普及。

七、其他控制點(diǎn)

數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)均不在此處考慮，放在安全計(jì)算環(huán)境中的五類(lèi)數(shù)據(jù)中統(tǒng)一體現(xiàn)。

網(wǎng)絡(luò)安全成長(zhǎng)路線圖

這個(gè)方向初期比較容易入門(mén)一些，掌握一些基本技術(shù)，拿起各種現(xiàn)成的工具就可以開(kāi)黑了。不過(guò)，要想從腳本小子變成hei客大神，這個(gè)方向越往后，需要學(xué)習(xí)和掌握的東西就會(huì)越來(lái)越多，以下是學(xué)習(xí)網(wǎng)絡(luò)安全需要走的方向：

# 網(wǎng)絡(luò)安全學(xué)習(xí)方法

? 上面介紹了技術(shù)分類(lèi)和學(xué)習(xí)路線，這里來(lái)談一下學(xué)習(xí)方法：
? ## 視頻學(xué)習(xí)

? 無(wú)論你是去B站或者是油管上面都有很多網(wǎng)絡(luò)安全的相關(guān)視頻可以學(xué)習(xí)，當(dāng)然如果你還不知道選擇那套學(xué)習(xí)，我這里也整理了一套和上述成長(zhǎng)路線圖掛鉤的視頻教程，完整版的視頻已經(jīng)上傳至CSDN官方，朋友們?nèi)绻枰梢渣c(diǎn)擊這個(gè)鏈接免費(fèi)領(lǐng)取。網(wǎng)絡(luò)安全重磅福利：入門(mén)&進(jìn)階全套282G學(xué)習(xí)資源包免費(fèi)分享！文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-641495.html

到了這里，關(guān)于網(wǎng)絡(luò)安全等保：Oracle數(shù)據(jù)庫(kù)測(cè)評(píng)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！